[[344224]]

本文轉載自微信公眾號「微月人話」，作者衛sir 。轉載本文請聯系微月人話公眾號。  

我曾在信息安全管理的9大思維一文中提出網絡安全9大思維：CIA思維、深度防御思維、可控思維、自上而下思維、全局思維、成本收益思維、不信任思維、有效性思維、道德法規思維。

現在我們看看，一旦網絡攻防開戰，這9大思維能否用上?怎么用?

注：在我國，近幾年來，“信息安全”和“網絡安全”兩個概念完全等同。

注：本文中的實戰，其實是指高水平的網絡攻防演練。

1、CIA思維

CIA思維比較高層，功夫要下在平時，該加密的加密(C)，該校驗的校驗(I)，該高可用的高可用(A)。

戰時主要是檢驗效果。

這就好比防守方的城墻和堡壘，設計和建筑時就要搞好，平時做好維護，戰時是檢驗質量的。

值得說明一下，漏洞，是破壞完整性(I)的。

各種常見已知漏洞和0day漏洞都是攻擊者極欲發現和使用的，所以該打補丁的一定要打，單純硬件設備的補丁還算好打，如果是數據庫、中間件的補丁，就不那么容易，因為影響面比較大，開發、運維、廠商、測試，都會牽扯其中。

所以從一個單位的打補丁能力，就能看出其整體水平。

2、縱深防御

縱深防御思維是頭條金科玉律。

要一層一層防御，一層一層監控，從邊界到網絡分區、從服務器到終端、從操作系統到應用程序，要層層設卡，層層警戒。

即便敵人通過0day進了城，城內仍然處處是堡壘，處處是陷阱(蜜罐)，處處有監控。

深度防御可以分為物理層、技術層、管理層三個層次。

物理層位于最外側，可以是大門、圍墻、門禁、警衛、狼狗、攝像頭、傳感器、警報、鎖等防護手段，主要是防所謂“近源滲透”的。

技術層則包括認證、授權、加密、監控、隔離、封禁、限制、恢復、備份等手段。

在物理和技術仍然觸及不到的地方，通過管理手段來防護，比如規章制度、管理要求、現場檢查、安全教育、應急演練、戰前動員、全員皆兵等等。

順便吐槽一下：安全圈是從來不憚于創造新名詞的，每年都要整出好幾個新詞，比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等，其實就那么點東西，各種包裝。

這么做，一方面是顯得高大上一些，便于營銷;一方面也是為了簡化描述和便于交流。比如現在你一說“社工”，大家立刻秒懂。

3、一切要在控制之中

可控思維的要點是：可視、可封、堅壁清野。

因為敵我雙方都講究“讓對方在明處，讓自己在暗處”。所以盡量讓攻擊隊看到最少的東西，讓我方看到最多的東西。

這節是重點，所以我多說一些。

先說下堅壁清野：把可以忍著不用的業務都停了，把意思不大的專線都shutdown了，把云上的東西都下了，把訪客可觸及的信息點(網口)都關了，把筆記本上的內部文檔都刪了。

搜一搜云盤和github上有沒有單位的東西，有的話趕緊清了。這也是一個“可視”的問題，要能看見自己的東西。

上次實戰時，都打了好幾天了，有朋友電話我，說我單位有個系統開了若干端口。打開一看，確實沒錯，嚇得我趕緊查IP，卻發現IP并不是我們的，一開始以為是仿冒網站，后來一查，原來是開發商放在云上的測試系統!

堅壁清野很難做到徹底，但要盡可能地做。

下面說對攻擊的“可視”。

在進入服務器之前，攻擊都在流量之中。

如果條件允許，建議大量購買網絡流量相關工具，一兩個是不夠的，要有多個。

首先應該建一個流量匯聚平臺，把網絡各處流量輸入匯聚起來，然后按需處理、分發。網絡設備給出流量，安全分析工具享用流量。這樣，不至于像以前，每上一個安全分析工具，都要到處接鏡像。

然后是各類流量分析和處置工具，如WebIDS、APT防護、沙箱、郵件安全、WAF、IPS等等，這類工具買上十個八個也不為多。

最后，流量回溯工具是必不可少的，它可以把流量都存下來，上面說的那些工具，通常是不會記錄全流量的，要查看具體特定流量的時候，還是要靠它。

最好能夠看到口令暴力猜解，這可以從流量上做，雖然稍微有點難度。如果企業的認證點是集中的，就比較好辦。

比如某單位所有系統都用AD驗證口令，那就監控AD上的流量，如果每秒有多個口令驗證出錯，就立刻報警。

蜜罐是獨特而有效的可視性工具，可以買專門的蜜罐/蜜網系統，也可以使用負載均衡設備的蜜罐功能，還可以開主機蜜罐、郵箱蜜罐、數據庫蜜罐等等。總之，多開一些總是好的，一個典型的中型金融機構，怎么也應該弄上幾百上千個蜜罐。

一定要有主機安全工具，以便看到主機上的攻擊行為。像口令嘗試、漏洞提權、木馬上傳、遠程登錄、反彈shell等攻擊行為，都能及時看到。此外，它還可以發現弱口令，可以監控web目錄，可以保護可執行文件，可以設置主機蜜罐，總之，這是個好東西，誰用誰知道。

此外，日志匯聚分析平臺、報警平臺、CMDB、威脅情報等等這些，都應該有，這些都有助于發現和定位攻擊。

下面說一下網絡封禁：

• IP封禁應盡量方便化和自動化。可開發專門的IP封禁系統，實現方便的一鍵封禁。必要時，要能一鍵關閉線路(也就是關閉路由器端口)。
• 應具備封禁IP列表的導入功能。實戰時，攻擊情報都是上千個IP的列表，要能方便導入。
• 要防止誤封。不要誤封正常用戶，不要誤封自己的出口地址。可以將自己的地址放入封禁系統的白名單中。
• 一些安全工具可以和防火墻聯動。通過調用防火墻的API接口或命令接口，可以實現對高危攻擊的自動封禁，必要時可以用，但同樣要防范誤封。

4、自上而下

工程師文化是自下而上，但作戰需要自上而下。

自上而下講求的是領導重視、指揮有方;強調的是組織嚴密、協同有力。

領導，在組織、動員、謀劃、決策、資源調動、后勤供應等方面，都是起最重要作用的，也是作戰成敗的關鍵因素。

在當今人類社會，“命令體系”仍然是最有效的戰爭組織體系，畢竟人類還沒有發展出去中心化的作戰能力，還沒有發展出我在如何從高層把握區塊鏈的本質中所設想的去領導式作戰機制。

如今的攻防演練，大批人馬集中在ECC，必然存在大量的組織和管理工作，比如團隊協同、規章制度、應急流程等;再比如場地、工位、門禁、值班、人吃馬喂等等，都需要自上而下的管理，都需要領導的指揮、布局、坐鎮和協調。

不像攻擊隊2，3個人就能開整，防守方是多團隊作戰的，指揮部、研判組、監控組、網絡組、主機組、終端組、郵件組、應用組，加上24小時排班，少則幾十人，多則幾百人。

要想和諧有序地在一起工作，除了指揮和命令，還要有協同工具。IM工具(比如微信或其他)是首要必需，在線文檔編輯工具則可以如虎添翼，監控組及時上報攻擊信息，其他組迅速跟進，分析、定位、確認、封禁，整個團隊通過工具協同起來。

5、全局思維

全局思維是指安全要定位好自己，不要把自己放在業務之上。

因為這個世界的最重要任務是發展，安全只是保障。

平時，安全應以業務為重;到了戰時，業務可以適當讓步，一些業務可以關停。

但關鍵性的業務，仍應保持運營。不能因為害怕，都停擺了。

畢竟本文所說的作戰，其實只是演練。

6、成本收益思維

窮有窮的打法，富有富的打法。

如果窮，沒有太多的資源和人力，那就保護最重要的資產，防范最常見的攻擊。

攻擊者最愛用的、對技術要求最低、而又最容易奏效的攻擊手段，無外乎：漏洞、弱口令、釣魚郵件。而漏洞中，又以文件上傳漏洞為甚。

所以重點防以上三點。

注：那些被打穿的，大多也都敗在這三點。

漏洞全都補上，這是辛苦的活，但必須做。實在補不上的，關停、隔離或想其他辦法。

仔細排查文件上傳入口，如非必要，全都關上。即便一定要上傳，也做嚴格的檢查和過濾。

利用工具發現弱口令、禁用弱口令、強制定期修改口令，在管理上則是通知、檢查、通報。

培訓所有人警惕釣魚郵件，要實測幾次，看看員工是否已經掌握。

如果富，那就是買買買了，買盡可能多的一流工具，買盡可能多的一流人才。

兵強馬壯，一般都沒有問題。

每年都有更新更好的工具，所以要年年買;

每個工具都要自身的局限性，所以同一類工具可以買多家的;

每個團隊都有其優勢和劣勢，所以可以同時請多家。

7、不信任思維

不信任思維很簡單，就是對內網也不信任，對內部人也不信任，對合作伙伴也不信任，以至于，最終，對任何人、任何物都不信任。

畢竟，多一份不信任，少一份不安全。

在某次大型演練中，某處于中心地位的機構被攻破，立刻變成風險中心，所有聯入該機構的單位嚇得紛紛拔網線。

這也說明和外聯機構要有清晰而嚴格的訪問控制策略，只能開業務所需的IP和端口。

從非技術的角度考慮，不信任思維主要是防社工。

許多所謂的著名黑客，其實只是社工高手，很多不可思議的突破案例，其實只是精妙的社工。

要通過培訓，告訴所有人如何識別釣魚郵件，如何識別社工人員。

有時候，不僅僅是拒絕，還需要學會誘敵深入。

抓住社工可以加分的。

有次實戰，某單位義正嚴辭地拒絕了一位自稱是來修ATM機的，事后回想起來，覺得有些可惜，錯失了加分機會，應該放他進來，看看他到底做點什么再下手不遲。

8、有效性的檢驗

有效性，顧名思義，就是說你所設計和執行的一切，是否生了效。

比如你封IP，是否封上了?你打的補丁，是否打上了?你上的監控，是否有用的?你不讓點的郵件，員工是否點了?你制定的流程，是否執行了?

這些都要做檢測、做驗證。

不要指望一個命令下去，一切就能到位。

除非你經常性地檢驗。

在正式開戰之前，可以先做幾次演練，找最厲害的幾只個攻擊隊，實打實地來幾次攻擊，看能不能攻破，看是不是還有漏洞。

這些都做了，心里才能有點底。

9、道德法規思維的實踐

法規思維，就是要守法，要合規;

攻擊隊可能感受更強烈一些，畢竟違規攻擊是要受到懲罰的。

雙方交戰，至少不能誤傷群眾。

溯源時候，經常會溯到普通群眾，遇到這種情況，應該盡快做到無損退出，而不是進一步擴大“戰果”。

關于道德思維，我曾經總結過，就是要正直、盡責、貢獻。

這里就不多說了，懂的自然懂。

10、結語

總結起來，作戰思維和日常管理思維還是有區別的，雖然實戰時，9大思維都會涵蓋到，但最重要的思維是“縱深防御”和“可控”，然后是“自上而下”、“成本收益”和“不信任”。

“縱深防御”和“可控”同時也是最花功夫的，需要長期不懈的建設，以及戰前的密集準備。

如果“縱深防御”到位，又把“可控”思維中的“可視”、“可封”、“堅壁清野”做好，攻擊隊基本上無從下手。

而防守方基本上就是盯盯監控，封封IP，然后就是翹腳喝咖啡了。

如果你不圖加分的話。